Personvernerklæring for Ode

Sist oppdatert: 27.2.2026

1. Behandlingsansvarlig

Behandlingsansvarlig for personopplysninger som behandles gjennom Ode er:

Musikkminner AS
Adresse: Høgskoleringen 4, 7034 Trondheim
Org.nr.: 936 127 029

Personvernkontakt: For spørsmål om personvern, kontakt oss på guttohn@gmail.com.

2. Formålet med behandlingen

Ode er en musikkteknologisk løsning for personer med demens og deres pårørende. Formålet med behandlingen av personopplysninger er å:

  • opprette og administrere brukerprofiler
  • kartlegge musikkpreferanser på vegne av den demensrammede
  • generere og tilpasse spillelister basert på preferanser og vurderinger
  • levere høyttalertjenesten og styre avspillingen gjennom Spotify Connect
  • muliggjøre betaling for tjenesten
  • sikre stabil drift og feilsøking av tjenesten

3. Hvilke opplysninger vi behandler

Vi behandler følgende kategorier personopplysninger:

  • Brukerkonto: navn, e-postadresse og rolle (pårørende/helsepersonell)
  • Profil for den demensrammede: navn, fødselsår, hjemsted
  • Musikkpreferanser: foretrukne tiår, musikksjangre, favorittartister
  • Spilleliste-data: sangtitler, artistnavn, brukerreaksjoner på sanger, og relaterte metadata
  • Avspillingsplaner: tidsplaner for når musikk skal spilles på høyttalere
  • Spotify-integrasjon: nødvendige data for å koble til og administrere Spotify-kontoen

Ode behandler ikke helseopplysninger eller andre særlige kategorier data etter GDPR art. 9. Alle opplysninger gjelder kun musikksmak og preferanser.

Viktig: Brukere bes om å ikke oppgi sensitive opplysninger (som helseopplysninger, religiøs tilhørighet, politiske meninger eller lignende) i fritekstfeltene. Del kun musikkpreferanser og relaterte ønsker.

4. Behandlingsgrunnlag

Behandlingen skjer på grunnlag av berettiget interesse etter GDPR artikkel 6 nr. 1 bokstav f.

Musikkminner AS har en legitim interesse i å tilby en tjeneste som tilpasses musikksmak for å øke livskvalitet for personer med demens. Brukerne kan med rimelighet forvente at slike opplysninger behandles i en omsorgskontekst.

5. Lagring og sletting

  • Opplysninger lagres i Microsoft Azure sine datasentre i Europa.
  • Alle opplysninger nevnt i seksjon 3 lagres i vår database.
  • Data sendt til AI-leverandører for å generere sangforslag lagres ikke av leverandørene og slettes umiddelbart etter behandlingen. Vi lagrer kun resultatet (sangforslagene) i vår egen database.
  • Når kunden selv sletter sin bruker, slettes alle personopplysninger umiddelbart og uopprettelig.
  • Vi har interne rutiner for regelmessig gjennomgang av data og etterlevelse av GDPR.

6. Deling av opplysninger

Vi deler personopplysninger kun med følgende leverandører som fungerer som databehandlere eller selvstendige behandlingsansvarlige:

  • Microsoft Azure – lagring og drift av databaser (innenfor EØS)
  • Stripe og Vipps – behandling av betalinger (selvstendige behandlingsansvarlige for betalingsopplysninger)
  • Spotify API – integrasjon for å opprette og styre spillelister (tilgang kun til musikkrelaterte data, ikke sensitive personopplysninger)
  • OpenAI – brukes til å generere sangforslag basert på musikkpreferanser. Vi sender kun musikkrelaterte opplysninger (profilinformasjon, musikkpreferanser og eksisterende spilleliste) for å generere sangforslag.

    Viktig: Data sendes kun for å generere sangforslag i sanntid. OpenAI lagrer ikke dataene, og de brukes ikke til å trene eller forbedre modellene. Dataene slettes umiddelbart etter behandlingen.

Vi deler ikke personopplysninger med andre tredjeparter, og vi selger ikke data videre.

7. Dine rettigheter

Som registrert har du rett til å:

  • Få innsyn i hvilke personopplysninger vi behandler om deg
  • Få rettet uriktige eller ufullstendige opplysninger
  • Kreve sletting av opplysninger («retten til å bli glemt»)
  • Kreve begrensning av behandlingen i visse tilfeller
  • Motta en kopi av opplysningene du selv har gitt oss (dataportabilitet)
  • Protestere mot behandlingen
  • Klage til Datatilsynet dersom du mener behandlingen ikke er i tråd med gjeldende regelverk

For å utøve dine rettigheter kan du kontakte oss på guttohn@gmail.com.

Om mottakerens rettigheter (GDPR art. 11)

Siden vi ikke lagrer navn eller andre direkte identifikatorer for mottakeren, kan vi ikke identifisere mottakeren fra opplysningene vi har. I henhold til GDPR art. 11 har vi da ikke plikt til å behandle ytterligere opplysninger kun for å identifisere mottakeren. Rettighetene i art. 15-20 (innsyn, retting, sletting, begrensning, dataportabilitet) kan derfor være begrenset for mottakeren, med mindre den som opprettet profilen gir oss opplysninger som gjør det mulig å knytte forespørselen til riktig profil.

8. Sårbare grupper

Opplysninger om den demensrammede oppgis normalt av en pårørende. Vi oppfordrer pårørende til å involvere den demensrammede i den grad det er mulig. Dersom verge eller fullmektig er oppnevnt, vil vi følge deres instruksjoner.

9. Overføring av data utenfor EØS

All behandling av personopplysninger skjer innenfor EØS. Data overføres ikke utenfor EØS.

10. Varsling om endringer

Vi kan oppdatere denne erklæringen ved behov. Ved vesentlige endringer varsler vi brukerne:

  • med tydelig beskjed i appen (f.eks. banner eller push-melding)
  • og/eller via e-post dersom vi har oppgitt adresse

Sist oppdatert: 29.1.2026.

11. Personvernombud

Musikkminner AS er per i dag ikke pålagt å ha personvernombud etter gjeldende regelverk. Dersom dette endrer seg, vil vi oppdatere erklæringen og informere brukerne.

14. Ansvar og etterlevelse (GDPR art. 5(2))

Vi er behandlingsansvarlig og kan påvise at vi overholder prinsippene i GDPR art. 5. Vi har:

  • Dokumenterte rutiner for behandling av personopplysninger
  • Gjennomført interesseavveiinger (LIA) der vi benytter berettiget interesse som grunnlag
  • Inngått databehandleravtaler (DPA) med alle relevante underleverandører
  • Interne rutiner for å ivareta de registrertes rettigheter
  • Tekniske og organisatoriske tiltak for å sikre personopplysningene